管理多個機構資源

機構資源會在 Google Cloud Platform 資源階層下建立專案和資料夾的所有權。您的 Google Workspace 或 Cloud Identity 帳戶只與一個機構資源相關聯。每個 Google Workspace 或 Cloud Identity 帳戶還會與一個主網域相關聯,例如 example.com。如要進一步瞭解如何使用多個網域,請參閱「新增使用者別名網域或次要網域」。如要瞭解如何變更 Google Workspace 帳戶的主網域,請參閱「變更 Google Workspace 的主網域」。

在多數使用案例中,建議您在機構資源下使用資料夾。如要維持公司內的子機構或部門為不受集中管理的獨立實體,您可以設定多個 Google Workspace 或 Cloud Identity 帳戶。每個帳戶都會附帶一個與主要網域相關聯的機構資源。

使用多個機構資源的影響

如果您不希望來自其他 Google Workspace 或 Cloud Identity 帳戶的使用者存取其他 Google Workspace 或 Cloud Identity 帳戶的使用者建立的資源,可以使用多個機構資源。不過,將資源分成多個機構資源會產生某些影響:

  • 根據預設,沒有單一使用者可以集中瀏覽和控管所有資源。

  • 可在子機構之間通用的政策需要在每個機構資源上逐一複製。

  • 系統不支援將資料夾從一個機構資源移至另一個機構資源。詳情請參閱「在組織資源之間遷移專案」。

  • 每個機構資源都需要一個 Google Workspace 帳戶。因此,操作多個機構資源需要多個 Google Workspace 帳戶,並要能管理不同帳戶的身分。

使用單一機構資源

多數想維持獨立子機構的機構可以使用單一機構資源和資料夾來達成這個目的。如果您有一個 Google Workspace 帳戶,此帳戶會對應到機構資源,而子機構會對應到資料夾。

選擇機構管理員

選擇一或多位使用者做為機構資源的 IAM 機構管理員。

主控台

如要新增機構管理員,請按照下列步驟操作:

  1. 以 Google Workspace 或 Cloud Identity 超級管理員身分登入 Trusted Cloud 控制台,然後前往「IAM & Admin」(IAM 與管理員) 頁面:

    開啟「IAM & Admin」(IAM 與管理員) 頁面

  2. 選取要編輯的機構資源:

    1. 按一下頁面頂端的專案下拉式清單。

    2. 在「Select from」(可用的選項) 對話框中,按一下機構下拉式清單,然後選取要新增機構管理員的機構資源。

    3. 在顯示的清單中,按一下機構資源以開啟「IAM Permissions」(IAM 權限) 頁面。

  3. 按一下「新增」,然後輸入要設為機構管理員的使用者電子郵件地址。

  4. 在「Select a role」(選擇角色) 下拉式選單中,依序選取「Resource Manager」(資源管理員) >「Organization Administrator」(機構管理員),然後按一下「Save」(儲存)

    機構管理員可以執行下列操作:

    • 完整掌控機構資源。建立 Google Workspace 或 Cloud Identity 超級管理員與 Trusted Cloud 管理員之間的責任區分。

    • 指派相關的 IAM 角色,委任關鍵功能的責任。

為子機構建立資料夾

在機構資源下為每個子機構建立一個資料夾。

您必須在父項層級擁有資料夾管理員資料夾建立者角色,才能建立資料夾。舉例來說,如要在機構層級建立資料夾,您必須在機構層級具有上述任一角色。

在建立資料夾的過程中,您必須指定資料夾名稱。資料夾名稱必須符合以下要求:

  • 名稱可以包含字母、數字、空格、連字號和底線。
  • 資料夾顯示名稱的開頭和結尾必須是字母或數字。
  • 名稱長度必須介於 3 至 30 個字元之間。
  • 名稱不得與同一父項下的其他資料夾相同。

如要建立資料夾,請按照以下步驟進行:

控制台

您可以在 UI 中,使用「Manage Projects and Folders」區段來建立資料夾。

  1. 前往 Trusted Cloud 控制台的「管理資源」頁面:

    開啟「Manage resources」(管理資源) 頁面

  2. 確認頁面頂端的機構下拉式清單中已選取機構資源名稱。

  3. 按一下「建立資料夾」,然後選取下列其中一個選項:

  4. 在「Folder name」(資料夾名稱) 方塊中輸入新的資料夾名稱。

  5. 在「Destination」(目的地) 下方,按一下「Browse」(瀏覽),然後選取要在哪個機構資源或資料夾下建立新資料夾。

    1. 點選「建立」

gcloud

您可以使用 Google Cloud CLI,透過程式建立資料夾。

如要使用 gcloud 指令列工具在機構資源下建立資料夾,請執行以下指令。

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

若要在其他資料夾下建立資料夾:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

其中:

  • [DISPLAY_NAME] 為資料夾的顯示名稱。同一父項下的資料夾不能使用相同的顯示名稱。顯示名稱的開頭和結尾必須是字母或數字。顯示名稱可包含字母、數字、空格、連字號和底線,且長度不可超過 30 個字元。
  • 如果父項為機構資源,則 [ORGANIZATION_ID] 是父項機構資源 ID。
  • 如果父項為資料夾,則 [FOLDER_ID] 是父項資料夾 ID。

API

您可以透過 API 要求來建立資料夾

JSON 要求:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

「建立資料夾」curl 要求:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

其中:

  • [DISPLAY_NAME] 是新資料夾的顯示名稱,例如「My Awesome Folder」。
  • [ORGANIZATION_NAME] 是您要在其中建立資料夾的機構資源名稱,例如 organizations/123

「建立資料夾」回應:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

「取得作業」curl 要求:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

「取得作業」回應:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

授予資料夾管理員角色

對您建立的每個子機構資料夾,授予資料夾管理員角色給一或多個使用者。這些使用者將對資料夾及其所代表的子機構擁有管理控制權。

若要設定資料夾的存取權,您必須在父項層級擁有資料夾 IAM 管理員資料夾管理員角色。

控制台

  1. 在 Trusted Cloud 控制台中,開啟「Manage Resources」(管理資源) 頁面。

    開啟「Manage Resources」(管理資源) 頁面

  2. 按一下左上角的「Organization」下拉式選單,然後選取您的機構資源。

  3. 找出要變更權限的專案,然後選取專案旁的核取方塊。

    1. 在右側「Info panel」(資訊面板) 的「Permissions」(權限) 下方,輸入要新增的成員的電子郵件地址。

    2. 在「Select a role」(選擇角色) 下拉式選單中,選取要授予這些成員的角色。

    3. 按一下「Add」(新增)。畫面上隨即顯示通知,確認成員的新角色已新增或更新。

gcloud

您可以使用 Google Cloud CLI 或 API,透過程式設定資料夾的存取權。

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

您也可以使用以下程式碼:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

其中:

  • [FOLDER_ID] 是新資料夾的 ID。
  • [POLICY_FILE] 是資料夾的政策檔案路徑。

API

setIamPolicy 方法會在資料夾上設定存取控管政策,並取代任何現有的政策。resource 欄位應為資料夾的資源名稱,例如 folders/1234

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

curl 要求:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

其中:

  • [FOLDER_NAME] 是要設定 IAM 政策的資料夾名稱,例如 folders/123。

限制子機構角色

每個資料夾管理員都可以限制專案建立者角色必須為其子機構的成員。他們也可以將專案建立者角色的網域從機構資源的允許政策中刪除。

Google Workspace 超級管理員具有無法撤銷的機構管理員權限。一般而言,這些超級管理員管理的是身分和身分政策,而非管理 Trusted Cloud 資源和資源政策。

主控台

如要使用 Trusted Cloud 控制台移除預設角色:

  1. 前往 Trusted Cloud 控制台的「管理資源」頁面:

    開啟「管理資源」頁面

  2. 點選頁面頂端的「Organization」(機構) 下拉式選單,然後選取您的機構資源。

  3. 找出您要變更權限的機構資源,然後選取機構資源旁的核取方塊。如果您沒有「資料夾」資源,則無法顯示機構資源。如要繼續,請參閱 IAM 頁面中的撤銷角色操作說明。

  4. 在右側「Info Panel」(資訊面板) 的「Permissions」(權限) 下方,點按以展開要移除使用者的角色。

  5. 在展開的角色清單下,找出要移除角色的主體,按一下主體旁的「移除」。 UI 的螢幕擷取畫面

  6. 在出現的「Remove principal?」(移除主體?) 對話方塊上,點選「Remove」(移除) 以確認移除指定主體的角色。

  7. 對要移除的每個角色重複上述兩個步驟。

範例

下圖說明機構使用資料夾來區隔兩個部門。工程和財務部門的負責人具有管理控管權,其他使用者無法建立專案。

階層圖

在主要機構資源下管理多個機構

如果貴機構有多個 Google Workspace 帳戶,根據預設,您會有多個機構資源。如要維護集中瀏覽權限和控制權限,我們建議您選擇一個機構資源做為主要機構資源。與主要機構資源相關聯的 Google Workspace 帳戶超級管理員,將擁有對所有資源的管理控管權,包括使用者從其他 Google Workspace 帳戶建立的資源。這些 Google Workspace 帳戶的使用者會獲授予主要機構資源下的資料夾存取權,能在資料夾中建立專案。

選擇機構管理員

選擇一或多位使用者做為機構資源的 IAM 機構管理員。

主控台

如要新增機構管理員,請按照下列步驟操作:

  1. 以 Google Workspace 或 Cloud Identity 超級管理員身分登入 Trusted Cloud 控制台,然後前往「IAM & Admin」(IAM 與管理員) 頁面:

    開啟「IAM & Admin」(IAM 與管理員) 頁面

  2. 選取要編輯的機構資源:

    1. 按一下頁面頂端的專案下拉式清單。

    2. 在「Select from」(可用的選項) 對話框中,按一下機構下拉式清單,然後選取要新增機構管理員的機構資源。

    3. 在顯示的清單中,按一下機構資源以開啟「IAM Permissions」(IAM 權限) 頁面。

  3. 按一下「新增」,然後輸入要設為機構管理員的使用者電子郵件地址。

  4. 在「Select a role」(選擇角色) 下拉式選單中,依序選取「Resource Manager」(資源管理員) >「Organization Administrator」(機構管理員),然後按一下「Save」(儲存)

    機構管理員可以執行下列操作:

    • 完整掌控機構資源。建立 Google Workspace 或 Cloud Identity 超級管理員與 Trusted Cloud 管理員之間的責任區分。

    • 指派相關的 IAM 角色,委任關鍵功能的責任。

刪除「專案建立者」角色

從機構資源中移除「專案建立者」角色,確保資源不會在其他機構資源中建立。

主控台

如要使用 Trusted Cloud 控制台移除預設角色:

  1. 前往 Trusted Cloud 控制台的「管理資源」頁面:

    開啟「管理資源」頁面

  2. 點選頁面頂端的「Organization」(機構) 下拉式選單,然後選取您的機構資源。

  3. 找出您要變更權限的機構資源,然後選取機構資源旁的核取方塊。如果您沒有「資料夾」資源,則無法顯示機構資源。如要繼續,請參閱 IAM 頁面中的撤銷角色操作說明。

  4. 在右側「Info Panel」(資訊面板) 的「Permissions」(權限) 下方,點按以展開要移除使用者的角色。

  5. 在展開的角色清單下,找出要移除角色的主體,按一下主體旁的「移除」。 UI 的螢幕擷取畫面

  6. 在出現的「Remove principal?」(移除主體?) 對話方塊上,點選「Remove」(移除) 以確認移除指定主體的角色。

  7. 對要移除的每個角色重複上述兩個步驟。

為 Google Workspace 帳戶建立資料夾

在機構資源下為每個 Google Workspace 帳戶建立一個資料夾。

您必須在父項層級擁有資料夾管理員資料夾建立者角色,才能建立資料夾。舉例來說,如要在機構層級建立資料夾,您必須在機構層級具有上述任一角色。

在建立資料夾的過程中,您必須指定資料夾名稱。資料夾名稱必須符合以下要求:

  • 名稱可以包含字母、數字、空格、連字號和底線。
  • 資料夾顯示名稱的開頭和結尾必須是字母或數字。
  • 名稱長度必須介於 3 至 30 個字元之間。
  • 名稱不得與同一父項下的其他資料夾相同。

如要建立資料夾,請按照以下步驟進行:

控制台

您可以在 UI 中,使用「Manage Projects and Folders」區段來建立資料夾。

  1. 前往 Trusted Cloud 控制台的「管理資源」頁面:

    開啟「Manage resources」(管理資源) 頁面

  2. 確認頁面頂端的機構下拉式清單中已選取機構資源名稱。

  3. 按一下「建立資料夾」,然後選取下列其中一個選項:

  4. 在「Folder name」(資料夾名稱) 方塊中輸入新的資料夾名稱。

  5. 在「Destination」(目的地) 下方,按一下「Browse」(瀏覽),然後選取要在哪個機構資源或資料夾下建立新資料夾。

    1. 點選「建立」

gcloud

您可以使用 Google Cloud CLI,透過程式建立資料夾。

如要使用 gcloud 指令列工具在機構資源下建立資料夾,請執行以下指令。

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

若要在其他資料夾下建立資料夾:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

其中:

  • [DISPLAY_NAME] 為資料夾的顯示名稱。同一父項下的資料夾不能使用相同的顯示名稱。顯示名稱的開頭和結尾必須是字母或數字。顯示名稱可包含字母、數字、空格、連字號和底線,且長度不可超過 30 個字元。
  • 如果父項為機構資源,則 [ORGANIZATION_ID] 是父項機構資源 ID。
  • 如果父項為資料夾,則 [FOLDER_ID] 是父項資料夾 ID。

API

您可以透過 API 要求來建立資料夾

JSON 要求:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

「建立資料夾」curl 要求:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

其中:

  • [DISPLAY_NAME] 是新資料夾的顯示名稱,例如「My Awesome Folder」。
  • [ORGANIZATION_NAME] 是您要在其中建立資料夾的機構資源名稱,例如 organizations/123

「建立資料夾」回應:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

「取得作業」curl 要求:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

「取得作業」回應:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

授予資料夾管理員角色

對於所建立的每個資料夾,授予資料夾管理員角色給一或多位使用者。這些使用者將對資料夾及其所代表的子機構擁有管理控管權。

若要設定資料夾的存取權,您必須在父項層級擁有資料夾 IAM 管理員資料夾管理員角色。

控制台

  1. 在 Trusted Cloud 控制台中,開啟「Manage Resources」(管理資源) 頁面。

    開啟「Manage Resources」(管理資源) 頁面

  2. 按一下左上角的「Organization」下拉式選單,然後選取您的機構資源。

  3. 找出要變更權限的專案,然後選取專案旁的核取方塊。

    1. 在右側「Info panel」(資訊面板) 的「Permissions」(權限) 下方,輸入要新增的成員的電子郵件地址。

    2. 在「Select a role」(選擇角色) 下拉式選單中,選取要授予這些成員的角色。

    3. 按一下「Add」(新增)。畫面上隨即顯示通知,確認成員的新角色已新增或更新。

gcloud

您可以使用 Google Cloud CLI 或 API,透過程式設定資料夾的存取權。

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

您也可以使用以下程式碼:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

其中:

  • [FOLDER_ID] 是新資料夾的 ID。
  • [POLICY_FILE] 是資料夾的政策檔案路徑。

API

setIamPolicy 方法會在資料夾上設定存取控管政策,並取代任何現有的政策。resource 欄位應為資料夾的資源名稱,例如 folders/1234

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

curl 要求:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

其中:

  • [FOLDER_NAME] 是要設定 IAM 政策的資料夾名稱,例如 folders/123。

然後,每個資料夾管理員可以將專案建立者角色授予關聯網域的使用者。

範例

下圖說明機構區隔其主要網域與取得的次要網域。這兩個網域都各有自己的 Google Workspace 帳戶,hypothetical.com 為主要機構資源。

階層圖